Topologias do Skype for Business compatíveis com a autenticação modernaSkype for Business topologies supported with Modern Authentication

Este artigo lista as topologias online e local compatíveis com a autenticação moderna no Skype for Business, bem como os recursos de segurança que se aplicam a cada topologia.This article lists what online and on-premises topologies are supported with Modern Authentication in Skype for Business, as well as security features that apply to each topology.

Autenticação moderna no Skype for BusinessModern Authentication in Skype for Business

O Skype for Business pode aproveitar as vantagens de segurança da autenticação moderna.Skype for Business can leverage security advantages of Modern Authentication. Como o Skype for Business funciona em conjunto com o Exchange, o comportamento de logon que os usuários clientes do Skype for Business verão também serão afetados pelo status de MA do Exchange.Because Skype for Business works closely with Exchange, the login behavior Skype for Business client users will see will also be affected by the MA status of Exchange. Isso também se aplicará se você tiver uma divisão híbrida do Skype for Business.This will also apply if you have a Skype for Business split-domain hybrid. Há muitas partes em movimento, mas o objetivo aqui é uma lista fácil de Visualizar de topologias suportadas.That's a lot of moving parts, but the aim here is an easy to visualize list of supported topologies.

Dada o Skype for Business, o Skype for Business Online, o Exchange Server e o Exchange Online, quais topologias são compatíveis com o MA?Given Skype for Business, Skype for Business online, Exchange Server, and Exchange online, what topologies are supported with MA?

Topologias de MA compatíveis no Skype for BusinessSupported MA topologies in Skype for Business

Há dois aplicativos de servidor potencialmente e duas cargas de trabalho do Microsoft 365 ou do Office 365, envolvidas nas topologias do Skype for Business usadas pelo MA.There are potentially two server applications, and two Microsoft 365 or Office 365 workloads, involved with Skype for Business topologies used by MA.

  • Skype for Business Server (CU 5) localSkype for Business server (CU 5) on-premises

  • Skype for Business online (SFBO)Skype for Business online (SFBO)

  • Exchange Server localExchange server on-premises

  • Exchange Server online (EXO)Exchange server online (EXO)

Outra parte importante do MA é saber onde a autenticação (Authn) e a autorização (authZ) dos usuários ocorrerão.Another important part of MA is knowing where the authentication (authN) and authorization (authZ) of users will take place. As duas opções são:The two options are:

  • Azure AD, online na nuvem da MicrosoftAzure AD, online in the Microsoft Cloud

  • ADFS (servidor de Federação do Active Directory) no localActive Directory Federation Server (ADFS) on-premises

Portanto, ele se parece com isso, com o EXO e o SFBO na nuvem com o Azure AD e o Exchange Server (EXCH) e o Skype for Business Server (SFB) no local.So it looks a bit like this, with EXO and SFBO in the Cloud with Azure AD, and Exchange Server (EXCH) and Skype for Business server (SFB) on-prem.

Um exemplo de todos os aplicativos (Exchange e Skype for Business) e cargas de trabalho (EXO e SFBO) e os servidores de autorização (ADFS e evoSTS) que podem ser envolvidos ao ativar o MA.

Aqui estão as topologias com suporte.Here are the supported topologies. Por fim, observe a chave para os elementos gráficos:Please note the key for the graphics:

  • Se o ícone estiver esmaecido ou cinza, ele não será usado no cenário.If the icon is dimmed or grey, it is not used in the scenario.

  • O EXO é o Exchange Online.EXO is Exchange Online.

  • O SFBO é o Skype for Business online.SFBO is Skype for Business Online.

  • O EXCH é o Exchange local.EXCH is Exchange on-premises.

  • O SFB é o Skype for Business local.SFB is Skype for Business on-premises.

  • Os servidores de autorização são representados por triângulos, por exemplo, o AD do Azure é um triângulo com uma nuvem atrás dele.Authorizing servers are represented by triangles, for example, the Azure AD is a triangle with a cloud behind it.

  • Pontos de setas no servidor de autorização que serão usados quando os clientes tentarem alcançar o recurso de servidor especificado.Arrows point at the authorizing server that will be used when clients try to reach the specified server resource.

Primeiro, vamos abordar o MA com o Skype for Business em topologias somente no local ou somente na nuvem.First, let's cover MA with Skype for Business in both On-premises-only or Cloud-only topologies.

Importante

Você está pronto para configurar a autenticação moderna no Skype for Business Online?Are you ready to set up Modern Authentication in Skype for Business Online? Aquiestão as etapas para habilitar esse recurso.The steps to enable this feature are right here.

Nome da topologiaTopology name
ExemploExample
DescriçãoDescription
Com suporteSupported
Somente na nuvemCloud only
SFB compatível com topologia MA, somente nuvem.Usuários hospedados/caixas de correio localizadas: onlineUsers homed/mailboxes located: Online
O MA está ativado para EXO e SFBO.MA is on for both EXO and SFBO.
Portanto, o servidor de autorização é o Azure AD.Therefore, the authorization server is Azure AD.
Autenticação multifator (MFA), autenticação baseada no certificado do cliente (CBA), acesso condicional (CA)/Mobile (gerenciamento de aplicativos) com o Intune.Multi-factor authentication (MFA), Client-certificate based authentication (CBA), Conditional Access (CA)/Mobile Application Management (MAM) with Intune. **
Somente localOn-prem only
SFB compatível com topologia MA, somente no local.Usuários hospedados/caixas de correio localizadas: localUsers homed/mailboxes located: On-premises
O MA está ativado para o SFB local.MA is on for SFB on-premises.
Portanto, o servidor de autorização é AD FS.Therefore, the authorization server is ADFS.
Para obter detalhes de configuração, leia Este artigo.For configuration details, please see this article.
MFA (somente para área de trabalho do Windows-não há suporte para clientes móveis).MFA (Windows Desktop only - mobile clients are not supported). Nenhum recurso de integração do Exchange.No Exchange integration features.

Não recomendamos essa abordagem. Confira aqui:https://aka.ms/ModernAuthOverviewWe do not recommend this approach. Please see here: https://aka.ms/ModernAuthOverview

Importante

É recomendável que o estado MA seja o mesmo no Skype for Business e no Exchange (e em seus correspondentes online) para reduzir o número de prompts.It's recommended that the MA state be the same across Skype for Business and Exchange (and their online counterparts) to reduce the number of prompts.

Topologias mistas envolvem combinações de híbridos de domínio dividido SFB.Mixed topologies involve combinations of SFB split-domain hybrids. Estas são as topologias mistas com suporte no momento:These are the Mixed topologies currently supported:

Nome da topologiaTopology name
ExemploExample
DescriçãoDescription
Com suporteSupported
Misto 1Mixed 1
SFB com suporte com topologia MA, mista 1 (EXO + SFB).
Usuários hospedados/caixas de correio localizadas: EXO e SFBUsers homed/mailboxes located: EXO and SFB
O MA não está habilitado para o SFB; nenhum recurso do SFB MA disponível nesta topologia.MA is not enabled for SFB; no SFB MA features available in this topology.
Nenhum recurso MA para o SFB.No MA features for SFB.
Misto 2Mixed 2
MA com suporte com topologia mista 2 do S4B, SFBO Plus MA trabalhando com o EXCH local.
Usuários hospedados/caixas de correio localizadas: EXCH e SFBOUsers homed/mailboxes located: EXCH and SFBO
O MA está ativado apenas para SFBO.MA is on for SFBO only. O servidor de autorização é o Azure AD para usuários hospedados no SFBO, mas o AD for EXCH no local.The authorization server is Azure AD for users homed in SFBO, but AD for EXCH on-premises.
MFA, CBA, CA/MAM com o Intune.*MFA, CBA, CA/MAM with Intune.*
Misto 3Mixed 3
MA com suporte com SFB, EXO com MA ativado, mais EXCH e SFB no local.
Usuários hospedados/caixas de correio localizadas: EXO + SFB ou EXCH + SFBUsers homed/mailboxes located: EXO + SFB, or EXCH + SFB
Nenhum recurso do SFB MA disponível nesta topologiaNo SFB MA features available in this topology
Nenhum recurso MA para o SFB.No MA features for SFB.
Misto 4Mixed 4
MA com suporte com SFB, SFBO com MA ativado, mais EXCH e SFB.
Usuários hospedados/caixas de correio localizadas: EXCH + SFBO ou EXCH + SFBUsers homed/mailboxes located: EXCH +SFBO or EXCH + SFB
O MA está ativado para SFBO, portanto, o servidor de autorização é o Azure AD para usuários hospedados no SFBO.MA is on for SFBO, therefore the authorization server is Azure AD for users homed in SFBO. Usuários locais no SFB e EXO usam o AD.On-prem users in SFB and EXO use AD.
MFA, CBA, CA/MAM com o Intune somente para usuários online.*MFA, CBA, CA/MAM with Intune for online users only.*
Misto 5Mixed 5
MA com suporte no SFB, EXO com MA e SFBO com MA e EXCH e SFB no local.
Usuários hospedados/caixas de correio localizadas: EXO + SFBO, EXO + SFB, EXCH + SFBO ou EXCH + SFBUsers homed/mailboxes located: EXO + SFBO, EXO + SFB, EXCH + SFBO, or EXCH + SFB
O MA está ativado tanto no EXO quanto no SFBO, portanto, o servidor de autorização é o Azure AD para usuários hospedados no SFBO; usuários locais no EXCH e no SFB usam o AD.MA is on in both EXO and SFBO, therefore the authorization server is Azure AD for users homed in SFBO; on-prem users in EXCH and SFB use AD.
MFA, CBA, CA/MAM com o Intune somente para usuários online.*MFA, CBA, CA/MAM with Intune for online users only.*
Misto 6Mixed 6
Em uma topologia mista de 6, a autenticação moderna está ativada nos quatro locais do possibile-o situtation ideal quando se trata de autenticação moderna.
Usuários hospedados/caixas de correio localizadas: EXO + SFBO, EXO + SFB, EXCH + SFBO ou EXCH + SFBUsers homed/mailboxes located: EXO + SFBO, EXO + SFB, EXCH + SFBO, or EXCH + SFB
O MA está em todos os lugares, portanto, o servidor de autorização é o Azure AD para todos os usuários.MA is on everywhere, therefore the authorization server is Azure AD for all users. (online e local)(online and on-premises)
Confira https://aka.ms/ModernAuthOverview as etapas de implantação.Please see https://aka.ms/ModernAuthOverview for deployment steps.
MFA, CBA e CA/MAM (via Intune) para todos os usuários.MFA, CBA and CA/MAM (via Intune) for all users.

*-O MFA inclui área de trabalho do Windows, MAC, iOS, dispositivos Android e Windows phones; O CBA inclui o Windows desktop, iOS e dispositivos Android; CA/MAM com o Intune, inclui dispositivos Android e iOS.* - MFA includes Windows Desktop, MAC, iOS, Android devices, and Windows Phones; CBA includes Windows Desktop, iOS and Android devices; CA/MAM with Intune, includes Android and iOS devices.

Importante

É muito importante observar que os usuários podem ver vários prompts em alguns casos, notavelmente onde o estado ma não é o mesmo em todos os recursos do servidor que os clientes podem precisar e solicitar, como é o caso com todas as versões das topologias mistas.It's very important to note that users may see multiple prompts in some cases, notably where the MA state is not the same across all the server resources that clients may need and request, as is the case with all versions of the Mixed topologies.

Importante

Observe também que, em alguns casos (misto 1, 3 e 5 especificamente), uma chave do registro AllowADALForNonLyncIndependentOfLync deve ser definida para a configuração adequada para clientes da área de trabalho do Windows.Also note that in some cases (Mixed 1, 3, and 5 specifically) an AllowADALForNonLyncIndependentOfLync registry key must be set for proper configuration for Windows Desktop Clients.